Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 3275 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Setup

cbarone
Hello,

I just set up a DMZ with 3 Nics in my home.

eth0 (internal) - 192.168.1.100
eth1 (external) - 216.158.41.aa
eth2 (dmz) - 192.168.2.100

Note - the server in the dmz is a Dns and Web server.  I only want ftp, ssh, dns and http to be available for public access.  I have a public ip 216.158.41.bb on the web/dns server.

What rules do I have to setup to allow my web/dns server to be available to the public?  You help is greatly appreiciated and I thank you in advance.

cbarone@dca.net


This thread was automatically locked due to age.
Parents
  • 0
    quote:
    Originally posted by cbarone:
    I just set up a DMZ with 3 Nics in my home.

    eth0 (internal) - 192.168.1.100
    eth1 (external) - 216.158.41.aa
    eth2 (dmz) - 192.168.2.100

    Note - the server in the dmz is a Dns and Web server.  I only want ftp, ssh, dns and http to be available for public access.  I have a public ip 216.158.41.bb on the web/dns server.



    Hi Chris,
    Before applying any rules you have to configure your eth2 to a real IP, on the same subnet as your DNS/Web server. Otherwise, you will have to use DNAT.

    DNAT is OK but not a good solution for DMZ. Split your IP range to 2 separate ranges, configure eth1 to be on one subnet (the same your router resides on) and eth2 on the other. Set Proxy ARP for these interfaces and only then you will be ready to apply rules.

    Maurice
  • 0 in reply to Maurice
    I configured eth2 with a public ip address. Do I directly connect eth2 (DMZ Nic) to my webserver in the DMZ? or do I need a crossover or hub?

    Additionally, what packet filtering rules do I have to set up?

    Thanks for your help in advance.

    cbarone@dca.net
  • 0 in reply to cbarone
    if you only got one server, a crossover from eth2 directly to the webserver is enough... if you have more than one server or is about to expand I recommend a hub/switch

    Regards, 
    Kristian
  • 0 in reply to FeTtKloSSeN
    I am using a hub for testing purposes.  One thing I did not mention is the version of Astaro is 3.051.

    I have been experimenting with DNAT and packet filtering rules and can not get this to work.

    Can someone give me some setting configurations to make this work? My information is listed above.

    Thanks,

    cbarone@dca.net
Reply
  • 0 in reply to FeTtKloSSeN
    I am using a hub for testing purposes.  One thing I did not mention is the version of Astaro is 3.051.

    I have been experimenting with DNAT and packet filtering rules and can not get this to work.

    Can someone give me some setting configurations to make this work? My information is listed above.

    Thanks,

    cbarone@dca.net
Children
No Data
Unfiltered HTML